安全

铪攻击本地Microsoft Exchange Server

如何更好地保护,检测和响应

3月2日,微软宣布其本地交换服务器经历了多个0日的漏洞。

Microsoft评论了:“在观察到的攻击中,威胁Actor使用这些漏洞来访问已启用对电子邮件帐户的访问的内部交换服务器,并允许安装其他恶意软件以促进对受害环境的长期访问。微软威胁情报中心(MSTIC)将这项运动与Hafnium的最高信心归功于汉尼姆,该集团基于观察到的受害者,策略和程序在中国进行了州赞助和经营。“

在观察到的攻击中,威胁演员使用这些漏洞CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065,用于访问已启用对电子邮件帐户的访问的本地交换服务器和允许安装额外的恶意软件,以促进长期访问受害环境。

以下Microsoft安全响应中心(MSRC)发布解决了这些漏洞 -为Exchange Server发布的多个安全更新响应者的指导:调查和修复本地交换服务器漏洞。微软强烈敦促客户立即更新本地系统。

Microsoft已宣布在线交换不受影响。

Opentext™安全检测工程团队正在密切监控情况和开发工具,以帮助客户减轻这种网络攻击的潜在风险。Opentext™Encase™Encase™Endpoint Security CE 20.4的新发布的检测规则CE 21.1.更新产品的软件检测规则,了解与铪相关的妥协指标。

OpenText建议客户通过采取以下步骤立即更新其内部部署系统:

下载并运行Microsoft安全扫描仪查找和删除种植的网屏蔽。继续使用下面发布和链接的端点安全筛选器监视WebShell创作。

应用任何异常检测过滤器或妥协指标(IOC)过滤器由Opentext发布,搜索历史遥测和行为指标。

threat在您的环境中,如果发现此次攻击的证据,请进行以下内容和数字取证和事件响应(DFIR)活动:

  • 立即从设备收集内存以进行更深的分析,寻求确保威胁演员没有增加对任何可能受损的系统的升级访问。
  • 对Active Directory进行审核,以确保在违约期间没有创建其他用户。
  • 撰写事件的时间表,寻找潜在的横向运动。
  • 已删除验证WebShells并进行修复以及找到的任何其他恶意软件。
  • 从公司识别所有漏斗的数据。

有关在环境中识别和解决风险的帮助,联系OpenText安全服务团队

更多信息

欲获得更多信息,访问Microsoft网站或者通过OpenText联系我们我的支持18luck体育下载

展示更多

相关文章

返回顶部按钮